FileProfile()
Nota
Vuoi provare Microsoft Defender XDR? Altre informazioni su come valutare e pilotare Microsoft Defender XDR.
Si applica a:
- Microsoft Defender XDR
La FileProfile()
funzione è una funzione di arricchimento nella ricerca avanzata che aggiunge i dati seguenti ai file trovati dalla query.
Colonna | Tipo di dati | Descrizione |
---|---|---|
SHA1 |
string |
SHA-1 del file a cui è stata applicata l'azione registrata |
SHA256 |
string |
SHA-256 del file a cui è stata applicata l'azione registrata |
MD5 |
string |
Hash MD5 del file a cui è stata applicata l'azione registrata |
FileSize |
int |
Dimensioni del file in byte |
GlobalPrevalence |
int |
Numero di istanze dell'entità osservate da Microsoft a livello globale |
GlobalFirstSeen |
datetime |
Data e ora in cui l'entità è stata osservata per la prima volta da Microsoft a livello globale |
GlobalLastSeen |
datetime |
Data e ora dell'ultima osservazione dell'entità da parte di Microsoft a livello globale |
Signer |
string |
Informazioni sul firmatario del file |
Issuer |
string |
Informazioni sull'autorità di certificazione emittente |
SignerHash |
string |
Valore hash univoco che identifica il firmatario |
IsCertificateValid |
boolean |
Indica se il certificato usato per firmare il file è valido |
IsRootSignerMicrosoft |
boolean |
Indica se il firmatario del certificato radice è Microsoft e il file è incorporato nel sistema operativo Windows |
SignatureState |
string |
Stato della firma del file: SignedValid - il file è firmato con una firma valida, SignedInvalid - il file è firmato ma il certificato non è valido, Unsigned - il file non è firmato, Sconosciuto - le informazioni sul file non possono essere recuperate |
IsExecutable |
boolean |
Indica se il file è un file eseguibile portabile (PE) |
ThreatName |
string |
Nome di rilevamento per eventuali malware o altre minacce rilevate |
Publisher |
string |
Nome dell'organizzazione che ha pubblicato il file |
SoftwareName |
string |
Nome del prodotto software |
ProfileAvailability |
string |
Indica lo stato di disponibilità dei dati del profilo per il file: Disponibile: è stata eseguita correttamente una query sul profilo e i dati del file restituiti, Mancante - Profilo sottoposto a query ma non sono state trovate informazioni sui file, Errore - Errore durante la query sulle informazioni del file o è stato superato il tempo massimo assegnato prima del completamento della query o un valore vuoto - se l'ID file non è valido o è stato raggiunto il numero massimo di file |
Sintassi
invoke FileProfile(x,y)
Argomenti
- x: colonna ID file da usare:
SHA1
,SHA256
,InitiatingProcessSHA1
oInitiatingProcessSHA256
; la funzione usaSHA1
se non specificato - y: limite al numero di record da arricchire, 1-1000; la funzione usa 100 se non specificato
Consiglio
Le funzioni di arricchimento mostreranno informazioni supplementari solo quando sono disponibili. La disponibilità delle informazioni è varia e dipende da molti fattori. Assicurarsi di considerare questo aspetto quando si usa FileProfile() nelle query o nella creazione di rilevamenti personalizzati. Per ottenere risultati ottimali, è consigliabile usare la funzione FileProfile() con SHA1.
Esempi
Proiettare solo la colonna SHA1 e arricchirla
DeviceFileEvents
| where isnotempty(SHA1) and Timestamp > ago(1d)
| take 10
| project SHA1
| invoke FileProfile()
Arricchire i primi 500 record ed elencare i file a bassa prevalenza
DeviceFileEvents
| where ActionType == "FileCreated" and Timestamp > ago(1d)
| project CreatedOn = Timestamp, FileName, FolderPath, SHA1
| invoke FileProfile("SHA1", 500)
| where GlobalPrevalence < 15
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Comprendere lo schema
- Ottenere altri esempi di query
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: nel corso del 2024 verranno dismessi i problemi di GitHub come meccanismo di feedback per il contenuto e verranno sostituiti con un nuovo sistema di feedback. Per altre informazioni, vedere:Invia e visualizza il feedback per